Tout commence par une réservation d’hôtel banale. Quelques minutes plus tard, un message arrive dans votre conversation Booking. L’hôtel demande une vérification urgente de votre paiement. 48 heures, sinon votre chambre s’envole. A priori, ce message semble banal. Il est tout à fait courant qu’un hôtel envoie des messages automatiques à ses clients dès qu’une réservation est effectuée pour confirmer celle-ci. Sauf qu’il ne s’agit pas toujours d’un message de l’hôtel…
C’est RMC qui tire la sonnette d’alarme sur ce nouveau procédé qui fait des ravages. En réalité, ce message presque instantané que vous recevez après la réservation est une tentative de phishing. Les escrocs se font passer pour l’établissement hôtelier et contactent leur victime dans le but de leur dérober leurs coordonnées bancaires. Et surprise : la France fait partie des pays les plus touchés d’Europe.
Pour y parvenir, ces arnaqueurs ciblent d’abord l’hôtel en envoyant un email de phishing aux employés. Ceux-ci se font alors avoir et clique sur un mauvais lien, donnant ainsi très rapidement accès au compte Booking de l’établissement à l’escroc. Cette méthode d’infiltration ne profite d’aucune faille dans les serveurs de Booking, ce qui la rend donc particulièrement invisible. Pour contacter sa cible, l’escroc passe alors soit par la messagerie Booking, soit par SMS, soit par WhatsApp. Et pour rajouter à la crédibilité de la chose, les messages sont personnalisés, comme le montre l’image ci-dessous.
Toutes les informations sur la réservation sont habilement reprises par l’escroc : durée du séjour, dates d’arrivée et de départ, nom de la victime… Le message envoyé est également plus professionnel que par le passé, avec de moins en moins de fautes d’orthographes, ce qui était pourtant l’un des principaux détails permettant de déceler une arnaque.
Heureusement, il y a un aspect qui permet d’identifier le message comme une tentative d’hameçonnage. Lorsque l’escroc vous contacte et tente de vous extorquer des informations, il ajoute une pression temporelle que ne ferait pas un vrai établissement. “Nous vous prions de bien vouloir compléter ceci dans les 24 prochaines heures”, alerte alors le message. L’utilisateur, pris de panique et de peur de voir sa réservation annulée, va alors rapidement cliquer sur le lien qui mène généralement à une fausse page de paiement ou de vérification bancaire.
Booking reconnaît une “vulnérabilité structurelle”
De son côté, Booking rassure en confirmant que ses serveurs ou systèmes centraux n’ont pas été compromis. La plateforme reconnaît toutefois que “des hôtel partenaires ont fait l’objet de tentatives de phishing” destinées à se retourner ensuite contre le consommateur. Le mastodonte de la réservation en ligne a également confirmé qu’elle misait sur l’IA “pour identifier et bloquer les activités suspectes le plus rapidement possible”.
Toujours selon Booking, ce serait principalement les plus petits hôtels qui sont au cœur de l’arnaque en raison de leurs moyens IT plus limités.
Comment se protéger face à ces tentatives de hameçonnage ?
- Ne jamais cliquer sur un lien de paiement reçu par message : Booking ne demande jamais de paiement via WhatsApp ou SMS
- Jamais Booking ne vous mettra de pression temporelle immédiate
- Ne pas répondre au message suspect : en cas de doute, trouvez l’adresse mail ou le numéro de téléphone de l’hôtel sur internet et contactez-le pour vérifier la demande
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
